DevSecOps調査レポート2025、緊急脆弱性のわずか18%が優先対象

2025年版DevSecOps調査レポートの重要な発見

ニューヨークを拠点とするDatadog, Inc.が発表した「2025年版 DevSecOps 調査レポート」は、現代企業のセキュリティにおける新たな課題を浮き彫りにしています。分析によれば、“緊急性”があるとされる脆弱性のうち、実際に優先して対応すべきものはわずか18%に過ぎないことが示されました。この結果は、セキュリティリスクを管理する上での新たな視点を提供しており、組織が直面する問題をより明確に理解する手助けにもなります。

脆弱性の優先順位付けの新手法

Datadogは、リアルタイムの状況に基づいて脆弱性の優先順位を付けるためのアルゴリズムを導入しました。この新しい手法は、CVSS（共通脆弱性評価システム）のベーススコアを改善するもので、単に脆弱性の存在だけでなく、それが本番環境において実行されているかどうか、または外部に公開されているかといった重要な要因も考慮に入れます。これによって、無数の脆弱性の中から本当に緊急性の高い問題を識別することが可能となり、実際には必要な対応が求められる脆弱性は約18%であることが明らかになりました。

Datadogのセキュリティアドボカシー責任者であるアンドリュー・クルーグ氏は、「セキュリティエンジニアは、実際には優先度が高くない脆弱性に時間を浪費している」と述べ、セキュリティ部門が真に優先すべき問題に集中できない現状の改善が求められると強調しています。

Javaサービスにおける脆弱性の過剰

レポートの中で特筆すべきもう一つの点は、Javaサービスで特に多くの脆弱性が確認されていることです。調査対象のアプリケーションの44%が、既知の脆弱性を抱えています。これに対し、他のプログラミング言語であるGoやPython、.NET、PHP、Ruby、JavaScriptでは既知の脆弱性を持つアプリケーションの割合は平均2%にとどまります。Javaは高リスクな脆弱性が多く、パッチの適用が遅れる傾向にあることも分かっています。

セキュリティへの最適化

本レポートからは、セキュリティ体制の最適化に向けた具体的な提案も示されています。例えば、攻撃者によるソフトウェアサプライチェーンのターゲット化について、数千の悪意あるライブラリが特定されました。不適切な依存ライブラリの使用がセキュリティリスクを増大させていることから、古いライブラリの更新を怠らないことが企業に求められています。また、認証情報管理の改善も進展しているが、進行は遅いという点が挙げられます。

本レポートは、数万のアプリケーションとコンテナイメージを分析した結果として、セキュリティ担当が特に注意すべきリスクや堅牢なセキュリティ体制を築くためのベストプラクティスを明らかにしています。デジタル化が進む現代において、企業のセキュリティに対する視点を一新する重要なデータとなるでしょう。

「2025年版 DevSecOps 調査レポート」は、以下のリンクから確認できます。
日本語版レポート
レポート全文ダウンロード(PDF)